قواعد جدید NIST در خصوص سیاستگذاری گذرواژه
انتخاب ناصحیح گذرواژه برای حساب های حساس، توسط بسیاری از کاربران موضوع جدیدی نیست. با ظهور سایت ها و برنامک های جدیدی که برای دسترسی به هر کدام از آنها نیاز به رمز عبور است بنظر نمی رسد که به این زودی ها وضعیت بهتر شود. بخصوص آنکه توان کامپیوترها نیز برای شکستن گذرواژه ها روز به روز بیشتر و بیشتر می شود.
اما شاید با سیاست گذاری های صحیح تر، بتوان امنیت گذرواژه انتخابی را توسط کاربران برای حساب های حساس سازمان افزایش داد.
به گزارش شرکت مهندسی شبکه گستر، مؤسسه ملی فناوری و استانداردها (NIST)، در سند Digital Authentication Guideline قواعد جدیدی را برای لحاظ شدن در نهادها و سازمان های آمریکا پیشنهاد کرده است.
آنچه در ادامه این مطلب آمده است پیشنهادهای جدید NIST در خصوص سیاست گذاری های انتخاب گذرواژه است.
سازگاری با کاربر
سیاست های گذرواژه نباید کاربر را مجبور به انجام کاری کند که تاثیری بر روی بهبود رمز عبور ندارد.
لزوم استفاده از رمز عبور طولانی
طول رمز عبور باید حداقل ۸ نویسه باشد. این حداکثر حداقل نیست! بدیهی است که برای حساب های حساس تر می توان طول حداقل را افزایش داد. همچنین حداکثر طول رمز عبور نباید کمتر از ۶۴ نویسه در نظر گرفته شود و کاربر در انتخاب گذرواژه ای هر قدر طولانی آزاد باشند. ضمن اینکه کاربر می بایست مجاز به وارد کردن نویسه های Unicode نیز باشد.
مقایسه گذرواژه های جدید با بانک داده های رمز عبور های بد
با این کار کاربران از انتخاب چنین رمز عبور هایی منع خواهند شد. اما برای اجرای اثربخش آن نیاز به تحقیقات بیشتری است. یکی از محققان NIST، بانک داده ای حاوی ۱۰۰ هزار مورد از بدترین گذرواژه ها را نقطه شروع خوبی می داند.
عدم مجبور کردن کاربران به استفاده از ترکیب بندی
بجای ذکر عبارتی نظیر نمونه زیر و مجبور کردن کاربر به انتخاب گذرواژه ای که به سختی بیاد می ماند کاربران به انتخاب رمز عبور های طولانی تشویق شوند.
Your password must contain one lowercase letter, one uppercase letter, one number, four symbols but not &%#@_, and the surname of at least one astronaut.
عدم استفاده از راهنما و اصالت سنجی با پایگاه دانش (KBA)
از Password Hint و KBA استفاده نشود. KBA مربوط به زمانی است که از کاربر سئوالاتی همچون ?Where did you attend high school پرسیده می شود و از پاسخ ها در فرآیند بازگرداندن گذرواژه استفاده می شود.
عدم منقضی شدن بی دلیل رمز عبور
اگر قرار است که کاربران گذواژه های طولانی و پیچیده انتخاب کنند نباید بی دلیل از آنها خواسته شود که این گذرواژه ها را تغییر دهند. درخواست تغییر باید دلایل قابل قبولی همچون فراموشی رمز عبور توسط کاربر، اجرای حمله فیشینگ (Phishing) یا وجود احتمال هک شدن بانک داده های حاوی آن گذرواژه داشته باشند.
سند NIST، به نکاتی در خصوص نحوه ذخیره سازی رمز عبور ها نیز اشاره دارد. همچنین روش اصالت سنجی دو مرحله ای با استفاده از پیامک را نیز روشی آسیب پذیر معرفی کرده است.
مطالعه این سند به تمامی مسئولان شبکه شرکت ها و سازمان ها و برنامه نویسان توصیه می شود.